Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. Приказ министерства транспорта Красноярского края от 24.07.2015 N 3/45-Н "Об обработке и защите персональных данных в министерстве транспорта Красноярского края" (с изменениями и дополнениями)

Приложение N 3

к Приказу министерства транспорта

Красноярского края

от 24 июля 2015 г. N 3/45-Н

Правила
осуществления внутреннего контроля соответствия
обработки персональных данных требованиям
к защите персональных данных

С изменениями и дополнениями от:

9 ноября 2015 г.

1. Общие положения

1.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) определяют основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных с целью выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных.

Информация об изменениях:

Приказом министерства транспорта Красноярского края от 9 ноября 2015 г. N 3/72-Н в пункт 1.2 раздела 1 настоящего Приложения внесены изменения

См. текст пункта в предыдущей редакции

1.2. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.

1.3. В Правилах используются основные понятия, определенные в статье 3 Федерального закона N 152-ФЗ.

2. Порядок проведения проверки

2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве транспорта Красноярского края (далее - министерство) организовывается проведение проверок условий обработки персональных данных.

Проверки проводятся на основании приказа министра транспорта Красноярского края (далее - министр).

Проверки осуществляются комиссией, образуемой приказом министерства.

В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.

Проверки соответствия обработки персональных данных требованиям к защите персональных данных в министерстве проводятся 1 раз в 2 года. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления (обращения), служебной записки о нарушениях правил обработки персональных данных.

2.2. При проведении проверки соответствия обработки персональных данных установленным требованиям должны полностью, объективно и всесторонне установлены:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

порядок и условия применения средств защиты информации;

эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

осуществление мероприятий по обеспечению целостности персональных данных.

2.3. Члены комиссии имеют право:

запрашивать у сотрудников министерства информацию, необходимую для проведения проверки;

требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить министру предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

вносить министру предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

В отношении персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

2.4. Проверка должна быть завершена не позднее чем через месяц со дня издания приказа о ее проведении. По результатам проведенной проверки составляется и подписывается комиссией заключение, в котором отражаются меры, необходимые для устранения выявленных нарушений. Подписанное заключение не позднее дня, следующего за днем завершения проверки, представляется министру.

По результатам проверки министр принимает необходимые меры, направленные на предотвращение нарушений, а при необходимости привлекает виновных лиц к установленной ответственности.

Министр транспорта Красноярского края

С.В.Еремин